アクセスSDK許可を設定する - Amazon Lookout for Vision
SDK オペレーション許可の付与Amazon S3 バケット権限の付与権限の割り当て

サポート終了通知: 2025 年 10 月 31 日、 AWS は Amazon Lookout for Vision のサポートを終了します。2025 年 10 月 31 日以降、Lookout for Vision コンソールまたは Lookout for Vision リソースにアクセスできなくなります。詳細については、このブログ記事 を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

アクセスSDK許可を設定する

Amazon Lookout for Vision SDKオペレーションを使用するには、Lookout for Vision APIおよびモデルトレーニングに使用される Amazon S3 バケットへのアクセス許可が必要です。

SDK オペレーション許可の付与

タスクの実行に必要な権限 (最小特権) のみを付与することをお勧めします。例えば、 を呼び出すにはDetectAnomalies、 を実行するためのアクセス許可が必要ですlookoutvision:DetectAnomalies。オペレーションのアクセス許可を確認するには、APIリファレンス を確認してください。

アプリケーションの使用を開始したばかりの場合、必要な特定のアクセス許可がわからない可能性があるため、より広範なアクセス許可から開始できます。 AWS 管理ポリシーは、使用開始に役立つアクセス許可を提供します。

コンソールの マネージドポリシーは、 SDKオペレーションのアクセス許可も提供します。詳細については、「ステップ 2: 権限をセットアップする」を参照してください。

参考情報 AWS 管理ポリシーについては、AWS「 管理ポリシー」を参照してください。

アプリケーションに必要な権限がわかったら、ユースケースに応じたカスタマー管理ポリシーを定義することで、権限をさらに減らします。詳細については、「カスタマー管理ポリシー」を参照してください。

注記

開始の手引きには s3:PutObject 権限が必要です。詳細については、「ステップ1: マニフェストファイルとアップロード画像を作成する」を参照してください。

権限を割り当てるには、「権限の割り当て」を参照してください。

Amazon S3 バケット権限の付与

モデルをトレーニングするには、イメージ、マニフェストファイル、およびトレーニング出力を格納するための適切なアクセス許可を持つ Amazon S3 バケットが必要です。バケットは AWSアカウントによって所有AWSされている必要があり、Amazon Lookout for Vision を使用しているリージョンにある必要があります。

SDKのみの 管理ポリシー (AmazonLookoutVisionFullAccess および AmazonLookoutVisionReadOnlyAccess) には Amazon S3 バケットのアクセス許可が含まれていないため、既存のコンソールバケットを含む、使用するバケットにアクセスするには、次のアクセス許可ポリシーを適用する必要があります。

コンソールの管理ポリシー (AmazonLookoutVisionConsoleFullAccessおよびAmazonLookoutVisionConsoleReadOnlyAccess) はコンソールバケットへのアクセス許可を含めます。SDK オペレーションを使用してコンソールバケットにアクセスし、コンソール管理ポリシーのアクセス許可がある場合は、次のポリシーを使用する必要はありません。詳細については、「ステップ 2: 権限をセットアップする」を参照してください。

タスク許可の決定

次の情報を使用して、実行するタスクに必要なアクセス許可を決定します。

データセットの作成

を使用してデータセットを作成するにはCreateDataset、次のアクセス許可が必要です。

  • s3:GetBucketLocation — Lookout for Vision により、バケットがLookout for Visionを使用しているのと同じ地域にあることを検証することができます。

  • s3:GetObjectDatasetSource 入力パラメータで指定されたマニフェストファイルへのアクセスを許可します。。マニフェストファイルの S3 オブジェクトのバージョンを正確に指定したい場合は、マニフェストファイル上で s3:GetObjectVersion も必要です。詳細については、「S3 バケットでバージョニングを使用する」を参照してください。

モデルの作成

でモデルを作成するにはCreateModel、次のアクセス許可が必要です。

  • s3:GetBucketLocation — Lookout for Vision により、バケットがLookout for Visionを使用しているのと同じ地域にあることを検証することができます。

  • s3:GetObject — プロジェクトのトレーニングデータセットとテストデータセットで指定された画像へのアクセスを許可します。

  • s3:PutObject — 指定したバケットにトレーニング出力を格納するアクセス許可。OutputConfig パラメータで出力バケットの場所を指定します。オプションで、S3Location 入力フィールドの Prefix フィールドで指定されたオブジェクトキーのみに許可を絞り込むことができます。詳細については、「」を参照してくださいOutputConfig

イメージ、マニフェストファイル、およびトレーニング出力へアクセスする

Amazon S3 バケットのアクセス許可は、Amazon Lookout for Vision オペレーションのレスポンスを表示するために必要ありません。操作の応答で参照される画像、マニフェストファイル、トレーニング出力にアクセスする場合は、s3:GetObject 許可が必要です。バージョン管理された Amazon S3 オブジェクトにアクセスする場合は、s3:GetObjectVersion アクセス許可が必要です。

Amazon S3 バケットポリシーをセッティングする

以下のポリシーを使用して、データセットの作成 (CreateDataset)、モデルの作成 (CreateModel)、画像、マニフェストファイル、およびトレーニング出力へのアクセスに必要な Amazon S3 バケットの権限を指定できます。の値を変更する my-bucket を、使用するバケットの名前に。

ポリシーは、ニーズに合わせて調整できます。詳細については、「タスク許可の決定」を参照してください。必要なユーザーにポリシーを追加します。詳細については、IAM「ポリシーの作成」を参照してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LookoutVisionS3BucketAccess",
            "Effect": "Allow",
            "Action": "s3:GetBucketLocation",
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        },
        {
            "Sid": "LookoutVisionS3ObjectAccess",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:ViaAWSService": "true"
                }
            }
        }
    ]
}

権限を割り当てるには、「権限の割り当て」を参照してください。

権限の割り当て

アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。